Минюст предлагает расширить уголовную ответственность за DDoS-атаки

Заместитель министра юстиции РФ Вадим Федоров предложил криминализировать неправомерное воздействие на компьютерную информацию посредством DDoS-атак в рамках одной из сессий на Хlll Петербургском международном юридическом форуме. 

Сейчас уголовное наказание предусмотрено только за «неправомерный доступ к охраняемой законом компьютерной информации» и за «создание, использование и распространение вредоносных компьютерных программ».

Уголовный кодекс под неправомерным доступом к компьютерной информации понимает получение или использование такой информации без согласия ее обладателя лицом, не наделенным необходимыми для этого полномочиями, пояснил «Ведомостям» управляющий партнер Key Consulting Group Вадим Егулемов. При этом, по словам адвоката, в объективную сторону как указанной статьи 272 УК РФ, так и статьи 273 УК РФ (создание, использование и распространение вредоносных компьютерных программ) входит такое последствие, как блокирование информации, под которым подразумевается воздействие на саму информацию, средства доступа к ней или источник ее хранения, в результате которого становится невозможным в течение определенного времени или постоянно надлежащее ее использование, осуществление операций над информацией полностью или в требуемом режиме.

С одной стороны, говорит директор департамента расследований T.Hunter Игорь Бедеров, DDoS-атаки становятся массовым инструментом хактивизма, конкурентной борьбы и политических протестов – их число увеличивается на 30% ежегодно. При этом существующие статьи УК РФ, в отличие от США, ЕС и Китая, не учитывают специфику DDoS, что усложняет квалификацию, отмечает он. С другой стороны, продолжает Бедеров, в качестве временной меры можно обеспечить расширительное толкование ст. 272 УК РФ. При этом это может повлечь за собой различные злоупотребления, например, бездействие или преследование за случайные действия, уточняет эксперт. 

«Предполагаю, что в УК РФ появится отдельная статья, четко определяющая DDoS-атаку как умышленную перегрузку инфраструктуры с целью нарушения ее доступности, – считает Бедеров. – Для обеспечения доказательной базы потребуются инструменты для фиксации трафика, идентификации бот-сетей и установки источника атаки. Здесь могут возникнуть сложности из-за анонимности в сети и использования средств обхода блокировок. Без этого криминализация DDoS рискует стать формальностью, а не реальным инструментом борьбы с киберпреступностью».

По словам руководителя аналитического отдела Servicepipe Антона Чемякина, в предлагаемой инициативе важен вопрос формулировок в законе и сложности доказательств. Всякий запрос создает нагрузку на сервис, поясняет эксперт, и как провести границу, после которой будет фиксироваться преднамеренность попытки вывести из строя, наличие умысла – вопрос очень сложный. Кроме того, продолжает Чемякин, помимо DDoS есть «серая зона» автоматизированного парсинга (сбор и структурирование информации сайтов), который часто является элементом недобросовестной конкурентной борьбы, и неудачные эксперименты начинающих программистов с попытками использовать открытые API. «На мой взгляд, очень важно аккуратно и разумно проработать вопросы, что считать преступлением, а что – нет, с экспертным сообществом до того, как принимать решение о необходимости и эффективности подобных поправок», – заключил эксперт.